查人人中国名人网警示教育基地解说词:NTFS占用cpu如何解决?```
来源:百度文库 编辑:查人人中国名人网 时间:2024/04/20 16:06:06
上下波动得很大有时候只有百分之几,有时候就百分之七八十
我是什么操作都没做啊```就只是开了网页啊。不开网页还可能占用100
我晕。。。以前没发现有个NTFS.exe的程序,自从新安装了还是以前那
个xp系统后(什么俄罗斯破解sp1版)就多了个NTFS.exe程序,是不是中毒了???但是我整么也杀不掉啊```只有把他结束了CPU就正常了,有高人
指点一下么?这个改不改注册表啊?希望不要用一些连接之类的啊```
麻烦了```
有什么软件防范么?谢谢高手先```
这应该是木马,下面是有关NTFS.EXE的木马的介绍。
病毒名称: Trojan/Win32.Filecoder
危害程度: 一般
病毒类型: 木马
爆发时间: 6月4日特洛伊
病毒描述:
这是一个特洛伊木马,他会换名加密文件到子目录或网络盘,自身使用UPX压缩,压缩后的尺寸是 137 KB; 解压后的尺寸是 353 KB. 这个木马会发送邮件,自称是一个"非常有用的工具". 木马将它自身安装到 WINDOWS\system\NTFS.exe 并且修改系统的自动执行注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"FsystemTracer"="C:\\WINDOWS\\system\\NTFS.exe"
木马然后修改系统的执行机制,注册自身,当打开EXE文件时,木马首先执行,木马查找所有的文件和子目录,发现exe文件产生名为
"EXEADDED" + 老的文件名的木马,然后把文件内容加密,换名为"FILEISENCODED" + 老文件名。
木马在6月4日发作.破坏50个文件,不能执行.
Backdoor.Rbot.aaf
破坏方法:Rbot病毒变种。是一种IRC后门。集黑客,蠕虫,后门功能于一体。
通过局域网共享目录和利用系统漏洞进行传播。体内带有弱口令字典,用户如不注意设定密码则系统很容易被攻破。
将自己拷贝到系统目录下,文件名为ntfs.exe。
写了注册表启动项
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
NTFS MICROSOFT SYSTEM = ntfs.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
NTFS MICROSOFT SYSTEM = ntfs.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
NTFS MICROSOFT SYSTEM = ntfs.exe
这样,每次开机病毒都能启动。
运行后连接特定IRC服务器的特定频道,接受黑客控制,发送本地系统信息。接收黑客发来的命令在本地执行。并将执行结果发会IRC聊天频道。
病毒会扫描网段内的机器并猜测共享密码,会占用大量网络带宽资源,容易造成局域网阻塞。
病毒出于保护肉鸡目的会取消系统匿名登陆功能,这样,局域网访问必须提供用户名和密码,要恢复可手工将注册表值HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous改为0。病毒还禁用DCOM功能,使系统免受RPC漏洞影响,要恢复可手工将注册表值HKLM\Software\Microsoft\Ole\EnableDCOM改为"Y"。